第六章 提权技术---BypassUAC(基于白名单程序的Bypass UAC)

本文主要是介绍第六章 提权技术---BypassUAC(基于白名单程序的Bypass UAC)，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

一、UAC

触发UAC时，系统会创建一个consent.exe进程，该进程通过白名单和用户选择来判断是否创建管理员权限进程。请求进程将要请求的进程cmdline和进程路径通过LPC接口传递给appinfo和RAiLuanchAdminProcess函数。该函数首先验证路径是否在白名单中，并将结果传递给consent.exe进程，该进程验证请求进程的签名以及发起者的权限是否符合要求后，决定是否弹出UAC窗口让用户确认。这个UAC窗口会创建新的安全桌面，屏蔽之前的界面。同时这个UAC窗口进程时系统权限进程，其他普通进程无法和其进行通信交互。用户确认之后，会调用CreateProcessAsUser函数以管理员身份启动请求的进程。

二、基于白名单程序的Bypass UAC

白名单程序可以通过DLL劫持、注入或是修改注册表执行命令的方式启动目标程序，实现Bypass UAC的操作。

三、实现过程、

选取CompMgmtLauncher.exe进行详细分析。
首先，直接在System32目录下运行CompMgmtLauncher.exe程序,这时并没有出现UAC弹窗,直接显示计算机管理的窗口界面。使用进程监控器Procmon.exe来监控CompMgmtLauncher.exe进程的所有行为。

分析发现，CompMgmtLauncher.exe进程会先查询注册表HKCU\Software\Classes\mscfile\shell\open\command中的数据，发现该路路径不存在后，继续查询注册表HKCR\mscfile\shell\open\command(Default)中的数据并读取，该注册表路径中存储着mmc.exe进程的路径信息。
所以我们可以在HKCU\Software\Classes\mscfile\shell\open\command中写入数据。可以手动添加该注册表路径，并设置默认数据为C:\Windows\System32\cmd.exe，并运行CompMgmtLauncher.exe。

四、测试结果

这里在windows11中进行测试，发现windows defender将这标记为bypass uac，并且不是以管理员权限运行的cmd。故不在演示。

这篇关于第六章 提权技术---BypassUAC(基于白名单程序的Bypass UAC)的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！